深度学习技术在网络入侵检测中的应用

案例简介
• 本案例中,北京邮电大学移动互联网安全技术国家工程实验室研究团队致力于将最新的深度学习技术应用于网络入侵检测,积极探索利用人工智能解决网络安全问题的新思路。
• 本案例中使用的NVIDIA GPU:10块 Tesla K80。
Case Introduction
• In this case, the research team belongs to the National Engineering Laboratory for Mobile Network Security Technologies, Beijing University of Posts and Telecommunications. They devote to applying the latest deep learning technology to network intrusion detection, and actively exploring new ideas of using artificial intelligence to solve cyber security problems.
• The major product utilized in the case is 10 NVIDIA Tesla K80 GPUs.
现状
从全球范围来看,网络空间安全形势不容乐观。继早期的蠕虫病毒、特洛伊木马和僵尸网络之后,近年来又兴起了被称为APT(高级持续威胁)的新型网络攻击手段。2017年上半年,勒索病毒WannaCry更是在全球范围内肆虐,通过网络造成一场严重的灾难。最新统计数据显示,WannaCry勒索病毒至少感染了150个国家的30万台电脑,波及了众多行业,包括金融、能源、医疗等,造成经济损失约达80亿美元,成为多年以来影响力最大的病毒之一。
简言之,不断爆发的大规模网络攻击一方面证明了传统安全防护技术的缺陷和不足,另一方面则呼唤着新一代网络安全技术的出现。笔者所在研究团队隶属于北京邮电大学移动互联网安全技术国家工程实验室,主要关注基于深度学习技术的网络入侵检测,在网络异常流量检测、基于载荷的Web攻击检测等方面开展研究工作。此外,团队也积极探索利用人工智能解决网络安全问题的新思路。
挑战
入侵检测技术最早在1980年提出,此后一直是网络安全领域的重点研究方向。传统入侵检测技术采用基于规则的方法,所谓规则是指恶意程序的签名和对恶意行为的描述,与规则相匹配的程序代码或网络行为会被检测为攻击。从实际应用情况来看,基于规则的入侵检测技术可以有效防御已知攻击方面,但对于新型未知攻击则素手无策。
鉴于此,诸多网络安全研究人员将关注点转移到基于异常的入侵检测技术。该检测技术主要采用统计机器学习的方法——收集正常的程序和网络行为数据,提取多维度特征,并在此基础上训练判决式机器学习模型(常用的包括朴素贝叶斯、决策树、支持向量机和随机森林等)。在检测阶段,与正常值之间的偏离超出容限的程序代码或网络行为会被认为是恶意代码或网络攻击行为。
与规则检测相比,基于异常的检测方法难以被绕过,在一定程度上提升了入侵检测的能力。然而实践表明,异常检测模型的优劣主要取决于特征提取。在已有研究中,特征提取工作主要都是由领域专家人工完成,使得该环节严重依赖于专家经验,而且缺乏在不同应用场景下的自适应性。
方案
由于深度神经网络有良好的数据表示和特征提取能力,笔者所在研究团队尝试在特征提取环节应用深度学习技术,替代人工专家的主观经验。团队主要从网络异常流量检测和基于载荷的Web攻击检测两方面展开研究。接下来简要介绍我们的研究工作。
 利用受限玻尔兹曼机和支持向量机进行网络异常流量检测
网络异常流量检测的总体流程如图1所示。相比传统方法,此工作的创新点是在分类器模型之前增加了特征抽取器。在实现时,分类器模型采用支持向量机,而特征抽取器则使用了受限玻尔兹曼机。